(Last Updated On: 4. Juli 2019)

IT Sicherheitskonzept. Das ist ein Ehrfurcht gebietender Begriff. Doch keine Sorge. In diesem Beitrag zeige ich Ihnen vom Anfänger bis zum Profi, wofür ein SiKo da ist und wie man es richtig aufbaut. Ein Sicherheitskonzept ist nämlich eine tolle Sache, wenn es im Unternehmen gelebt wird. Da wären wir auch schon beim Knackpunkt. Ein IT-Sicherheitskonzept bringt nämlich nichts, wenn es jedem einfach egal ist. Deswegen zeige ich Ihnen hier nicht nur, wie Sie ein durchdachtes Dokument schreiben. Vielmehr möchte ich Ihnen einen Leitfaden in die Hand geben, wie Sie ein IT Sicherheitskonzept ins Unternehmen integrieren. Aber fangen wir von vorne an.

Was ist ein IT Sicherheitskonzept?

Bei einem IT SiKo handelt es ich um ein Dokument, welches mit Risiken umgeht. Ganz speziell handelt es sich bei um Informationssicherheitsrisiken. Das sind Risiken, bei deren Eintreten etwas schlimmes mit den Informationen in einem Unternehmen geschieht. Die Informationen können von Unbefugten beispielsweise gesehen, manipuliert, beschädigt oder gelöscht werden. Aber nicht nur Datendiebe und Hacker bilden eine Gefahr, sondern beispielsweise auch Naturkatastrophen oder technisches Versagen. Oder einfach die Unwissenheit eines Anwenders, der Daten aus Versehen löscht.

Wie Sie sich sicher vorstellen können, sind Informationen aber wertvoll im Unternehmen. Ein Unternehmen ist allein schon deswegen auf Informationen angewiesen, um sein Geschäft abwickeln zu können. Ohne Preise kann ich einem Kunden kein Angebot machen. Wenn mein Online Shop nicht funktioniert, mache ich keinen Umsatz. Aber ich kann auch richtig Ärger bekommen, wenn ich mit Informationen leichtsinnig umgehe. Wenn beispielsweise Kundendaten gestohlen werden, kriege ich als Manager eins auf den Deckel. Zumindest wenn das Unternehmen fahrlässig gehandelt hat. Denn EU-DSGVO & Co. fordern, dass man sich um die Sicherheit der Daten Anderer kümmert.

Ein IT Sicherheitskonzept ist eigentlich nur eine kleine Teilmenge von etwas Größerem. Damit meine ich ein größeres Rahmenwerk, welches aus mehreren Dokumenten besteht. Dieses Rahmenwerk nennt sich Information Security Management System (ISMS). So ein Rahmenwerk findet man häufig bei größeren Unternehmen wieder. Ein ISMS enthält häufig das IT Sicherheitskonzept, aber eben auch noch mehr. Ein ISMS definiert die sogenannte Informationssicherheits-Strategie. Dazu zählen die Sicherheitsziele, die ein Unternehmen erreichen möchte. So ein Ziel kann beispielsweise sein, Informationssicherheitsrisiken um einen bestimmten Wert zu reduzieren.

Unterschied zwischen Sicherheitskonzept und ISMS

Während das Information Security Management System also die strategische Komponente ist, kann man das Sicherheitskonzept als taktische Komponente sehen. Denn das IT Sicherheitskonzept ist zuständig für die Umsetzung der Strategie. Es werden also praktische Maßnahmenkataloge ausgearbeitet, die umgesetzt werden. Jede der dort beschriebenen Maßnahmen trägt dazu bei, um die Gefahren für die Informationssicherheit im Unternehmen zu verringern. Eine solche Risikomitigation kann durch zwei Dinge entstehen. Entweder man verringert die Eintrittswahrscheinlichkeit des Risikos, oder die Auswirkung beim Eintritt. Optimal ist natürlich, wenn man beides verringern kann.

Das IT Sicherheitskonzept ist also das zentrale Dokument im Informationssicherheits Management eines Unternehmens.  Es beschreibt die Grundprinzipien der Informationssicherheit, nach denen eine Organisation vorgeht. Alle unternommenen Sicherheitsmaßnahmen auf operationaler Ebene müssen von diesem Dokument abgeleitet werden. Durch diese klare Richtlinie verhindern Sie, dass Ihre Organisation zum Hacker’s Paradise wird.

Wofür braucht man ein IT Sicherheitskonzept?

In Unternehmen gibt es häufig Diskussionen darüber, ob sich der Aufwand für bestimmte Sicherheitsmaßnahmen lohnt. Aber auch die Frage, ob man Sicherheitsmaßnahmen auch „nachholen“ kann, wird häufig diskutiert. Das passiert häufig, wenn der Endtermin eines Projektes näher rückt. Das Team wünscht sich dann häufig die Übergehung von Qualitäts- und Sicherheitsmaßnahmen. Denn diese könnten ja schließlich auch noch außerhalb des Projektes nachgeholt werden. Das Sicherheitskonzept legt Richtlinien fest, an die sich jeder halten muss.

Das IT Sicherheitskonzept legt also fest: „Genau so gehen wir mit Informationssicherheit um, und nicht anders“. Es setzt die Mindestanforderungen an die IT Sicherheit, die im Unternehmen erfüllt sein müssen. Vorher darf kein neuer Prozess eingeführt oder genutzt werden. Wer gegen die Grundprinzipien des SiKo verstößt, handelt fahrlässig. Somit kann sich in Zukunft niemand mehr aus der Verantwortung für die Sicherheit heraus reden. Das Sicherheitskonzept macht aber noch mehr. Es dient den Mitarbeitern eines Unternehmens als Leitfaden. Die meisten Mitarbeiter sind motiviert und an einer funktionierenden IT Sicherheit interessiert. Häufig wissen Sie jedoch nicht, wie sie vorgehen sollen.

BSI IT Grudschutz Katalog

Do More. Ein Aufruf, der zum Thema passt.

Hierfür gibt das IT Sicherheitskonzept dann ein entsprechendes Rahmenwerk. Es sagt  beispielsweise aus, welche Sicherheitsmaßnahmen Priorität haben. In welcher Reihenfolge sollten die einzelnen Maßnahmen implementiert werden, und wo findet man entsprechende Informationen und Hinweise zur Umsetzung. Das IT Sicherheitskonzept ist also ein wichtiger Blueprint für die Umsetzung. Ohne ein IT Sicherheitskonzept wird „einfach irgendwas gemacht“. So kann es sein, dass einfache  Sicherheitsmaßnahmen wie etwa verstärkte Passwortrichtlinien umgesetzt werden. Das ist jedoch fruchtlos, wenn die Anmeldemaske über eine Backdoor einfach umgangen werden kann. Das Sicherheitskonzept definiert solche Schritte und Prioritäten.

Welche Ziele verfolgt ein Sicherheitskonzept?

Das Dokument verfolgt das Ziel der Informationssicherheit. Dabei ist der hauptsächliche Mehrwert des Sicherheitskonzeptes folgender. Bedrohungen sollen frühzeitig erkannt werden. Ein Sicherheitskonzept definiert Grundlagen, anhand derer Sicherheitsrisiken bewertet werden. Dadurch kommt es seltener vor, dass Gefahren für die Informationssicherheit übersehen oder nicht angesprochen werden. Die frühzeitige Erkennung führt zur Definition von Vorbeugungsmaßnahmen. Wer ein Risiko frühzeitig erkennt, kann sich auf dessen Eintritt vorbereiten. Dadurch wird den Gefahren vorgebeugt. Prophylaxe ist besser als Behandlung.

ISMS und SiKo aus regulatorischen Gründen

Zu guter letzt gibt es noch einen wichtigen Punkt. Es ist für Unternehmen aus rechtlichen Gründen wichtig, ein IT Sicherheitskonzept zu implementieren. Denn die Rechtsprechung fordert von Organisationen eine mit gebotener Sorgfalt durchgeführte Risikoprüfung. Dies ist im englischsprachigen Raum auch als „Due Diligence Prüfung“ bekannt. Das gilt eben nicht nur für die Kennzeichnung von Lebensmitteln und das Streuen von Wegen zur Winterzeit. Waltet man bei der Analyse der Informationssicherheitsrisiken nicht die nötige Sorgfalt, führt dies zum Vorwurf grober Fahrlässigkeit.

Viele Unternehmen implementieren wegen rechtlicher Anforderungen ein IT Sicherheitskonzept. Ziel soll sein, den Anforderungen von beispielsweise Basel IV, Solvency II, MaSi und MaRisk, KRITIS, EuroSOX und der EU-DSGVO gerecht zu werden. Im Falle regelmäßiger Audits oder bei Verletzungen wird die Einhaltung einer gewissen Sorgfalt geprüft. Ein IT Sicherheitskonzept und dessen gewissenhafte Umsetzung im Unternehmen dient hierbei als Nachweis. Deswegen haben viele Unternehmen auch ein Interesse daran, ihre SiKos nach internationalen Standards auszurichten.

Welche Standards und Normen gibt es?

Damit man mit dem IT Sicherheitskonzept nicht jedes mal bei Null anfangen muss, gibt es Standards. Diese bieten nicht nur eine gute Grundlage zum Erstellen eigener Konzepte. Vielmehr dienen sie auch den Prüfern als Grundlage zur Bewertung. Ziel sollte es daher sein, mindestens die Norm zu erfüllen. Erfüllt man die Norm, hat ein externer Prüfer nichts zu meckern. Viele Unternehmen gehen aber noch einen Schritt weiter und bauen Ihr ISMS und Ihr IT Sicherheitskonzept aus. Insbesondere im Banken- und Versicherungsumfeld herrscht hier ein großer Qualitätsstandard.

Für Information Security Management Systeme (ISMSe) und damit auch für IT Sicherheitskonzepte gibt es eine internationale Norm. Das ist die ISO/IEC 27001. Dabei handelt es sich um einen internationalen Standard, nach dem man sich akkreditieren lassen kann. Er schreibt im Endeffekt vor, was in einem ISMS drin sein muss, um nach ISO/IEC 27001 zertifiziert werden zu können.

Unternehmen, die ISO 27001 zertifiziert sind, können die Erfüllung dieser Norm überall auf der Welt nachweisen. Dies ist gleichzeitig ein guter Schritt zur Erfüllung diverser rechtlicher und regulatorischer Vorgaben.

In Deutschland gibt es noch den IT Grundschutz Katalog des BSI. Das Bundesamt für Sicherheit in der Informationstechnik liefert die Standards 200-1, 200-2 und 200-3 aus. Auch nach diesen BSI-Standards können sich Unternehmen zertifizieren lassen. Die BSI Grundschutz Standards haben den Vorteil, dass sie umfassender sind. Sie berücksichtigen neben den zertifizierbaren Anforderungen der ISO 27001 auch die Empfehlungen aus nicht zertifizierbaren Normen. Darunter fällt beispielsweise die ISO 27002. Diese enthält Empfehlungen zur Umsetzung der Anforderungen aus der 27001.

Nice to know: Die Bundeswehr hat ihre eigene Dienstvorschrift für IT Sicherheitskonzepte. Die A-960/1 (ehemals ZDv 54/100 IT Sicherheit in der Bundeswehr). Dies ist eine speziell für die Streitkräfte entworfene Methodik. Sie basiert auf den Formulierungen aus den BSI Grundschutz Standards und leitet daraus ab.

Die BSI-Standards für IT Sicherheitskonzepte

Diese Möglichkeit wird nun im deutschsprachigen Raum durch die BSI Standards gegeben. Wer nach dem Standard BSI 200-1 zertifziert ist, berücksichtigt in seinem ISMS nicht nur die ISO 27001, sondern auch die 27002. Die drei BSI Standards haben verschiedene Schwerpunkte.

  • BSI 200-1 befasst sich mit der Konzeptionierung eines Information Security Management Systems. Und damit wiederum mit der Erstellung eines IT Sicherheitskonzepts. Dabei geht es nur um das Grundgerüst. Das BSI schreibt hier bewusst keine konkrete Methode zum Aufbau eines ISMS vor.
  • BSI 200-2 hingegen definiert drei konkrete Methodiken. Ein Unternehmen kann sich hierbei dazu entscheiden, erst einmal nur eine Kern-Absicherung, eine Basis-Absicherung oder eine Standard-Absicherung durchzuführen. Je höher das Level der gewählten Methodik, desto umfangreicher sind die dort gestellten Anforderungen.
  • BSI 200-3 bezieht sich speziell auf das Risikomanagement in der Informationssicherheit. Der Standard liefert dafür einen pragmatischen Ansatz zur Feststellung von Schutzbedarfen. Er bietet sich insbesondere für Unternehmen an, die bereits mit der IT Grundschutz Methodik aus BSI 200-2 arbeiten.

ISO/IEC 27001 gegen BSI IT Grundschutz

Was ist denn nun der richtige Standard? Soll man sich als Organisation nun nach ISO/IEC 27001 oder nach BSI-200 zertifizieren lassen? Der größte Vorteil an der ISO/IEC 27001 ist, dass sie international anerkannt ist.  Diesen Vorteil haben Sie jedoch auch bei einer BSI IT Grundschutz Zertifizierung. Denn das BSI Grundschutz Zertifikat hat die DIN ISO/IEC 27001 Norm integriert.  Eine BSI-Zertifizierung hat also auch eine internationale Tragweite. Von der Wertigkeit her ist auch das BSI Grundschutz Zertifikat aus meiner Sicht hochwertiger, weil es einen stärkeren Praxisbezug hat.

Warum sollte man also überhaupt noch eine klassische ISO/IEC 27001 Zertifizierung anstreben? Der Aufwand unterscheidet sich häufig. Um das BSI Grundschutz Zertifikat zu erhalten, müssen Sie zuvor die beiden Vorstufen des BSI Grundschutz erreichen. Diese werden von einem Auditor testiert und folgenderweise benamt.

  • IT-Grundschutz Einstiegsstufe und
  • IT-Grundschutz Aufbaustufe.

Erst, wenn Sie die Aufbaustufe erreicht haben, können Sie sich für das eigentliche IT Grundschutz Zertifikat bewerben. Die Auditoren, die diese Testate vergeben, müssen vom BSI zertifziert sein. Es reicht also nicht, als ISO/IEC 27001 Auditor of Management Systems zertifiziert zu sein. Für Sie als Organisation bedeutet das einen erhöhten Aufwand, weil Sie im Endeffekt drei Zertifizierungs Audits hinter sich bringen müssen. Für jede Teilstufe des IT Grundschutzes jeweils ein externes Audit. Diesen Aufwand haben Sie bei der ISO/IEC 27001 nicht. Hier gibt es nur ein einziges Zertifizierungs Audit.

Personenzertifizierung für IT Sicherheitskonzepte

Für Privatpersonen stellt sich diese Frage ohnehin nicht. Denn Sie können sich als Person nicht nach dem BSI 200 Standard zertifizieren lassen. Einzige Ausnahme: die Zertifizierung als Auditor. Für die Norm ISO/IEC 27001 hingegen gibt es Personenzertifizierungen auf mehreren Stufen. Um die Zertifizierung zu erlangen, müssen Sie eine entsprechende Zertifizierungsprüfung bestehen. Bei uns im Zukunftszentrum Bayern können Sie sowohl die zugehörige Schulung besuchen, als auch die Prüfung schreiben.

Dabei sieht die International Certification Organization folgende Zertifizierungsstufen vor.

  • ISMS 27001 Foundation. Der Inhaber des Zertifikats verfügt über grundlegendes Wissen über den Aufbau eines ISMS. Er ist damit in der Lage, ein ISMS zu interpretieren.
  • ISMS 27001 Professional. Der Inhaber des Zertifikats nimmt in der Regel eine leitende Rolle im Rahmen der Informationssicherheit ein. Ein gutes Beispiel wäre der Information Security Officer. Deswegen stellt die ICO bei Bestehen des ISMS 27001 Professional auch gleichzeitig ein Rollenzertifikat für den 27001 Information Security Officer aus. Der Inhaber des Zertifikats versteht die Komponenten eines ISMS und ist dazu in der Lage, ein ISMS aufzubauen und zu verwalten.
  • ISMS Auditor. Hierbei handelt es sich um ein Rollenzertifikat. Um Inhaber dieses Rollenzertifikates zu werden, müssen zwei Titel erworben werden. Zum einen der ISMS 27001 Professional, zum anderen der AMS 19011 Professional. Die ISO/IEC 19011 ist eine internationale Norm zum Audit von Managementsystemen. Jedoch darf der Inhaber eines 19011 Professional nur die Managementsysteme testieren, für die er eine fachspezifische Qualifikation nachweisen kann. Wenn Sie also sowohl den ISMS 27001 Professional als auch den AMS 19011 Professional haben, sind Sie ISMS Auditor. Sie können ab jetzt externe Zertifizierungsaudits durchführen. Sie können damit beispielsweise eine Karriere als Auditor in einer Akkreditierungsstelle antreten. Die Akkreditierungstelle muss ihrerseits nach ISO/IEC 27006 zertifiziert sein. Nur diese Organisationen dürfen einen externen Zertifizierungsaudit für die ISO/IEC 27001 durchführen.

Der Inhalt eines IT Sicherheitskonzeptes

in vier Schritten zum IT Sicherheitskonzept

Im Wesentlichen enthält ein IT Sicherheitskonzept folgende Abschnitte

  • Bestandsanalyse. Welche Assets gibt es überhaupt im Unternehmen, die einen Schutzbedarf haben? Assets können beispielsweise Mitarbeiter, Dokumente, Zugriffskarten, Lichtanlagen, Serverräume, Hardware-Komponenten oder Daten sein. Man spricht auch von einer Definition des Informationsverbundes. Also über welche physikalischen und digitalen Wege tauschen wir Informationen aus. Dadurch bestimmt man dann im Endeffekt den Geltungsbereich des IT Sicherheitskonzeptes.
  • Die IT Strukturanalyse. Dabei geht es um die strukturierte Erfassung aller Komponenten im Geltungsbereich. Das sind dann im Endeffekt alle Assets, die im Rahmen des Sicherheitskonzeptes berücksichtigt werden müssen. Dabei kann man entweder die gesamte Organisation oder immer nur Teilbereiche betrachten. Ein Teilbereich sollte jedoch einen gesamten Geschäftsprozess abbilden. Man könnte sich beispielsweise den Teilbereich des Bewerbungsprozesses ansehen. Dann würde man alle Komponenten erfassen und analysieren, die in diesem Prozess involviert sind.
  • Eine Schutzbedarfsfeststellung
  • Modellierung nach IT Grundschutz
  • Basis Sicherheitscheck
  • Ergänzende Sicherheits- und Risikoanalyse
  • Gesamthafte Dokumentation

Die Strukturanalyse

Die Strukturanalyse erfasst alle Bestandteile eines Informationsverarbeitungsprozeses. Dabei kann es sich beispielsweise auch um Mitarbeiter handeln. Zwar wird man in ein Sicherheitskonzept nicht den konkreten Vornamen und Nachnamen eines involvierten Mitarbeiters hineinschreiben. Aber die Rolle,die dieser ein nimmt, wird im Sicherheitskonzept verewigt. Dazu kommen dann beispielsweise noch beteiligte technische Systeme. Aber eben nicht nur. Was ist mit den Dokumenten, die diesen Prozess beschreiben oder als Arbeitsanweisung für die Mitarbeiter dienen? Was ist mit den Informationen selbst, die aus den technischen Systemen abgerufen werden? Was ist mit den Räumlichkeiten und Arbeitsplätzen? All das spielt mit rein.

Das IT Sicherheitskonzept erfasst diese Bestandteile. Sie ist sozusagen eine Inventur der Informationsverarbeitung. Durch diese Katalogisierung werden Risiken einfacher erkannt. Es kann nicht mehr so leicht passieren, etwas zu übersehen oder zu vergessen. Und es wird fest gelegt, dass diese Komponenten auch wirklich wichtig sind. Sobald die Komponenten einmal in der Strukturanalyse sind, kann ihre Relevanz nicht mehr unter den Tisch gekehrt werden. Diese einheitliche und deutliche Sprache hilft bei der Sicherheitskonzeptionierung. Ansonsten würde man sich nämlich immer sehr lange mit Grundlagendiskussionen aufhalten.

Die Schutzbedarfsfeststellung

In der Strukturanalyse des IT Sicherheitskonzeptes haben wir nun inventarisiert. Wir haben den sogenannten Informationsverbund festgelegt. Jetzt geht es um den Schutzbedarf des Verbundes. Welche Objekte benötigen nur elementare Sicherheitsmaßnahmen, und welche benötigen besondere Aufmerksamkeit? Dadurch soll unter Anderem verhindert werden, dass Ressourcen verschwendet werden. Wenn man nämlich viel Zeit und Geld in die Absicherung eines Objektes mit geringem Schutzbedarf steckt, ist das vergeudete Liebesmüh. Ein weiterer Vorteil: Es wird verhindert, dass die Inhaber von Objekten mit hohem Schutzbedarf die Inhaber anderer Objekte zu teuren Sicherheitsmaßnahmen verdonnern.

Damit wären wir auch schon beim nächsten Punkt: Jedes Sicherheitsobjekt braucht einen Inhaber. Bei einem Mitarbeiter wäre dessen Besitzer (sinnbildlich natürlich) der Abteilungs- oder Bereichsleiter.  Der Inhaber ist zuständig für das Erreichen der Sicherheitsziele. Das heißt, er muss ein angemessenes Sicherheitsniveau erreichen. Dieses Sicherheitsniveau steht dann im Einklang zum festgestellten Schutzbedarf. Im Beispiel unseres Mitarbeiters würde etwa der Abteilungsleiter seine Mitarbeiter schulen lassen. Warum denn dann nicht gleich bei uns, im Zukunftszentrum Bayern?

Schutzbedarfsanalyse IT Sicherheitskonzept

Bei der Schutzbedarfsanalyse gilt es zunächst, Schutzkategorien festzulegen. Danach wird meistens der Schutzbedarf der Anwedungen analysiert. Sie sind in der Regel die kleinste Einheit im IT Sicherheitskonzept. Schließlich können ja mehrere Anwendungen auf einem technischen System laufen. Mehrere technische Systeme wiederum können in einem einzigen Serverraum untergebracht sein. Anhand der Schutzbedarfsfeststellung der kritischsten Anwendung ergibt sich dann der Schutzbedarf der höheren Objekte. Dazu gebe ich einmal folgendes Beispiel: Auf einem Server laufen zwei Anwendungen mit geringem Schutzbedarf und eine mit sehr hohem Schutzbedarf. Die Einstufung des technischen Systems muss „sehr hoch“ lauten, weil die kritischste Anwendung eine entsprechende Einstufung bekommen hat.

Die Modellierung

Bei der Modellierung innerhalb des IT Sicherheitskonzeptes bezeichnet einfach nur die Verschaubildlichung der vorigen Schritte. Man nimmt also alle Objekte innerhalb des Informationsverbundes. Diese stellt man dann graphisch miteinander in Beziehung. Hierbei werden beispielsweise Netzwerkschnittstellen zwischen den technischen Systemen eingetragen. Es wird auch angezeigt, welche Anwendungen auf einem einzelnen technischen System lauffähig sind. Und mitunter stellt man auch andere Komponenten wie Dokumente und Mitarbeiter dar.

IT Sicherheitskonzept Modellierung nach BSI Grundschutz

Die Modellierung nach BSI Grundschutz baut auf den vorhergehenden Analysen auf.

Dabei kann es durchaus auch sein, dass diese graphische Darstellung ergänzt wird. Beispielsweise macht es Sinn, die Geschäftsprozesse zu visualisieren. Somit sieht man, was im Endeffekt mit den Daten passiert und wozu sie genutzt werden. Das BSI liefert einen eigenen Katalog und Empfehlungen zur Modellierung aus. Somit gibt es einen deutschsprachigen Standard für Grundschutz Modelle. Sie können jedoch selbstverständlich ihre eigene Notation verwenden.

Der Basis Sicherheitscheck

Der Basis Sicherheitscheck dient der Ermittlung des derzeitigen Sicherheitsniveaus. Dabei vergleicht man die derzeit bereits umgesetzten Sicherheitsmaßnahmen mit den Empfehlungen des BSI IT Grundschutz Katalogs. Sie nehmen nun Ihr IT Grundschutz Modell und stellen einen Prüfplan zusammen. In diesem Prüfplan beurteilen Sie, welche der BSI Grundschutz Empfehlungen auf das Objekt angewendet werden soll. Dabei entscheidet man unter Anderem anhand des Schutzbedarfes. Im Anschluss prüfen Sie dann objektiv, ob eine anzuwendende Sicherheitsmaßnahme aktuell zufriedenstellen umgesetzt ist.

Dabei muss erwähnt werden, dass die IT Grundschutzempfehlungen von einem normalen Schutzbedarf ausgehen. Objekte mit hohem oder sehr hohem Schutzbedarf können im Detail noch zusätzliche Sicherheitsmaßnahmen benötigen. Alle Mängel, die Sie im Rahmen des Sicherheitschecks feststellen, werden im Anschluss behoben. Dadurch erreicht die Organisation ein Grundlevel an Sicherheit, einen Grundschutz. Um nun auch Ihre Objekte mit hohem Schutzbedarf abzudecken, erstellen Sie im nächsten Schritt eine ergänzende Sicherheits- und Risikoanalyse.

Risiko- und Sicherheitsanalyse

In diesem Schritt führen Sie eine ergänzende Analyse durch. Diese soll feststellen, ob weitere Sicherheitsmaßnahmen umgesetzt werden müssen, die über den IT Grundschutz hinausgehen. Um das zu beurteilen, müssen Sie zunächst eine Risikoanalyse durchführen. Dazu gibt es unterschiedliche Verfahren. Leider sind viele Methodiken zur Risikoanalse sehr aufwendig. Deshalb bietet das BSI eine vereinfachte Risikoanalyse auf Basis von IT Grundschutz an. Diese vereinfachte Risikoanalyse soll es Ihnen kostengünstig ermöglichen, den erweiterten Schutzbedarf Ihrer Objekte festzustellen.

IT Sicherheitskonzept nach BSI Grundschutz

An vorderster Front steht hier die Gefährdungsübersicht. Das BSI liefert eine Standardüberischt mit möglichen Sicherheitsrisiken. Diese können Sie selbstverständlich im IT Sicherheitskonzept mit branchen- und unternehmensspezifischen Risiken ergänzen. Nachdem Sie eine komplette Übersicht zusammen haben, gehen Sie diese durch. Sie bewerten nun, ob zusätzliche Sicherheitsmaßnahmen umgesetzt werden müssen oder nicht. Hierzu kann es durchaus Sinn machen, sich an anderen Frameworks wie COBIT oder ISIS12 zu orientieren.

Das Fazit

Ich hoffe, Sie konnten in diesem Beitrag einen guten Einblick in den Aufbau eines IT Sicherheitskonzeptes gewinnen. Weiter unten habe ich noch eine FAQ mit häufig gestellten Fragen für Sie zusammen gestellt.  Wir halten also fest, dass ein IT Sicherheitskonzept

  • Teil eines Information Security Management System ist
  • dabei Maßnahmen zur Erreichung der Sicherheitsziele erläutert
  • und einen klaren Leitfaden für den Umgang mit Informationssicherheitsrisiken liefert
  • dazu wird zunächst der Geltungsbereichs des IT Sicherheitskonzepts abgesteckt
  • und im Anschluss werden sämtliche Objekte innerhalb dieses Informationsverbundes erfasst
  • danach werden diese in Schutzkategorien eingeteilt und der Erfüllungsgrad dieses Schutzbedarfes geprüft.

Wenn Sie auf der Suche nach einem kompetenten Schulungsanbieter im Bereich Information Security Management sind und Interesse an einer Personenzertifizierung im Umfeld der ISO/IEC 27001 haben, wenden Sie sich vertrauensvoll an uns. Unser Schulungsangebot steht Ihnen jederzeit offen.